Retningslinjer for utplassering av cybersikkerhet

This article has been translated automatically. See the original version.

Installasjons- og igangsettingssikkerhet
Før du kobler Ekip Connect til et nettverk eller noen enheter, for åminimere risikoen for sikkerhetsbrudd og skadelig programvare, følg denne sikkerhetssjekklisten:

1. Operativsystem

  • Distribuer på Windows 11 med de nyeste sikkerhetsoppdateringene (minst: Windows 10, slutt på offisiell støtte januar 2027)

    Trusseldempet: Kjente sårbarheter i operativsystemet, upatchede sikkerhetsutnyttelser og systemnivå-eskaleringsangrep.

  • Aktiver Secure Boot i BIOS (obligatorisk for Windows 11)

    Trusseldempet: Bootkit-angrep, uautorisert oppstartskodeutførelse og tukling med oppstartsprosessen

2. Arbeidsstasjonssikkerhet

  • Begrens fysisk tilgang til Ekip Connect-arbeidsstasjoner

    Trussel dempet: Fysisk manipulering, uautorisert enhetstilgang og direkte maskinvaremanipulering.

  • Aktiver full diskkryptering (BitLocker eller tilsvarende)

    Trussel redusert: Dataeksfiltrasjon hvis arbeidsstasjonen blir stjålet eller fysisk kompromittert; uautorisert tilgang til sensitiv lagret data.

  • Deaktiver autologin; Konfigurer passordbeskyttet innlogging

    Trusselredusert: Uautorisert tilgang fra trusselaktører med fysisk tilgang eller som får tilgang til en ulåst arbeidsstasjon.

  • Konfigurer automatisk skjermlås (15 minutter anbefales)

    Trusseldempet: Uautorisert tilgang til EkipConnect-applikasjonen og tilkoblede systemer under brukerfravær

  • Aktivere Windows-brannmuren med standard-nekt-innkommende regler

    Trusseldempet: Uautorisert nettverkstilgang, uønsket innkommende trafikk og kommando- og kontrollkommunikasjon med skadelig programvare.

3. Programvarebeskyttelse

  • Installer antivirus + antimalware-programvare

    Trussel redusert: Malware-infeksjon, trojan-kjøring og ondsinnet kode som kjører på arbeidsstasjonen.

  • Konfigurer sanntids Scanning og daglige fullskanninger.

    Trusseldemping: Sanntidsdeteksjon og forebygging av malware-kjøring; identifisering av sovende eller nylig introduserte trusler.

  • Aktiver automatiske oppdateringer av antivirusdefinisjon

    Trusseldempet: Omgåelse av antivirusdeteksjon av nye eller nylig oppdagede malware-varianter.

4. Brukerautentisering

  • Alle brukere må autentisere via MyABB (hvis ABB-laptop)

    Trusselredusert: Uautorisert tilgang til EkipConnect av uautentiserte eller utgitte brukere.

  • Håndhev sterke passord (minimum 8 tegn, 3 tegntyper)

    Trusseldempet: Brute force-angrep, ordbokangrep og passordgjetting av trusselaktører.

  • Aktiver multifaktorautentisering (MFA) for MyABB

    Trusseldempet: Kontoovertakelse og uautorisert tilgang selv om brukerlegitimasjon blir kompromittert eller stjålet

  • Deaktiver samtidige økter fra samme brukerkonto

    Trusselredusert: Uautorisert tilgang ved bruk av stjålne eller kompromitterte legitimasjoner på en annen arbeidsstasjon eller enhet.

5. Nettverkskonfigurasjon

  •  Distribuer på et dedikert administrasjonsnettverkssegment (separat VLAN)

    Trusseldempet: Lateral bevegelse av angripere fra kompromitterte bedriftssystemer; uautorisert tilgang til kritiske administrasjonsfunksjoner.

  • Konfigurer brannmuren slik at kun nødvendige utgående porter tillates:

      • Port 443/TCP (HTTPS skytilkobling)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

    Trusseldempet: Uautorisert utgående kommunikasjon, kommando-og-kontroll-callbacks fra skadelig programvare, og dataeksfiltrasjon til angriperinfrastruktur.

  • Isoler enhetsnettverk fra bedriftsnettverk (brannmur kreves)

    Trusseldempet: Lateral bevegelse mellom bedrifts- og kritiske enhetsnettverk; uautorisert tilgang til sikkerhetskritiske enheter.

6. Automatiske oppdateringer

  • Aktiver automatiske Windows-oppdateringer

    Trusseldempet: Kjente sårbarheter i operativsystemet og sikkerhetsoppdateringer på systemnivå distribueres i tide.

  • Konfigurer antivirus til automatisk oppdatering av definisjoner

    Trusseldempet: Deteksjonsomgåelse av nye malware-varianter og zero-day malware-trusler.

7. Innledende verifisering

  • Sjekk at Secure Boot er aktiv
  • Sjekk at Windows-brannmuren er aktivert
  •  Verifiser at antivirus kjører og er oppdatert

    Trusselredusert: Konfigurasjonsfeil, manglende sikkerhetskontroller og ufullstendig implementering av obligatoriske sikkerhetsgrunnlinjer.

     

Brandmurkonfigurasjon og sikkerhet

Ekip Connect bruker spesifikke porter for ulike typer kommunikasjon. Riktig brannmurkonfigurasjon er avgjørende for sikkerheten.

 

Obligatoriske porter (påkrevd for skyfunksjoner)

Port 443/TCP (HTTPS - Skytilkobling)

  • ABB ELSP Digital Manager API
  • ABB Ability Platform-tilkobling
  • Tilgang til fastvarebiblioteket
  • Oppdateringer og oppdateringer som lastes ned
  • Må være AKTIVERT for skyfunksjoner
  • ALLTID kryptert (TLS 1.2 eller høyere)

    Trusseldempet: Man-in-the-middle (MITM)-angrep på skykommunikasjon (dempet av TLS-kryptering); Uautorisert tilgang til sky-API-er og fastvarebiblioteker; Avskjæring av fastvareoppdateringer og sikkerhetsoppdateringer

Port 53/UDP (DNS - Domenenavnoppløsning)

  • Kreves for å løse ABB-skyendepunkter
  • Må være AKTIVERT for enhver skytilkobling
  • Ingen kryptering (standard DNS-protokoll)
  • Anbefaler å bruke pålitelige DNS-servere

    Trusseldemping: DNS-spoofing-angrep som omdirigerer EkipConnect til ondsinnede skyendepunkter; DNS-cacheforgiftning; Uautorisert omdirigering av skytilkobling

     

Anbefalte porter (Sterkt anbefalt)

Port 123/UDP (NTP - Tidssynkronisering)

  • Network Time Protocol for systemklokkenøyaktighet
  • Viktig for nøyaktighet og sikkerhet i loggens tidsstempler
  • Sterkt anbefalt, men ikke strengt nødvendig
  • Aktiver hvis nettverkskonfigurasjonen tillater det

    Trusseldempet: Logg tidsstempelmanipulering og manipulering; Klokkeskjev-angrep som ugyldiggjør tidsbaserte sikkerhetskontroller; Unøyaktig revisjonsspor og rekonstruksjon av hendelser

     

Enhetskommunikasjonsporter (for enhetstilkoblinger)

Port 502/TCP (Modbus TCP)

  • Kommunikasjon mellom enhet og Ekip Connect via Ethernet
  • TOVEIS (enheten kan kobles tilbake)
  • Ukryptert protokoll (nettverkssegmentering kreves)
  • Aktiver kun nettverk på enheten (ikke internettvendt)
  • Brannmuren skal begrense denne porten til kun autoriserte enheter

    Trusseldempet: Uautorisert enhetskommunikasjon og parametermanipulasjon; Rogue-enheter kobler seg til administrasjonsgrensesnittet; Avlytting av ukryptert enhetstrafikk (redusert ved nettverkssegmentering); Tjenestenektangrep fra uautoriserte nettverkssegmenter

Port 69/UDP (TFTP - Trivial File Transfer Protocol)

  • Fastvarenedlasting og enhetsprovisionering
  • TOVEIS KOMMUNIKASJON
  • Ukryptert (kun brukt på isolerte nettverk)
  • Kun nødvendig under fastvareoppdateringer
  • Kan deaktiveres utenfor vedlikeholdsvinduer

    Trusselredusert: Uautorisert nedlasting og distribusjon av fastvare; Ondsinnet fastvarainjeksjon via TFTP Man-in-the-middle-angrep på fastvareoverføring (dempet ved nettverksisolasjon); Uautorisert utstyrsprovisionering; Avlytting av ukrypterte fastvareoverføringer

 

Merk: mens enhetsprovisjonering behandles i ABB Ability™ EM & AM, sørg for at brannmuren din er riktig konfigurert, i henhold til aktive porter rapportert ovenfor. Hvis det oppstår kommunikasjonsproblemer, prøv å midlertidig deaktivere brannmuren, og aktiver den igjen på slutten av Provisioning-prosessen.

 

For mer informasjon om Modbus sikkerhetsutplasseringsretningslinjer og sikkerhetsinformasjon, vennligst klikk her.